Haftung des Geschäftsführers bei IT-Sicherheitsvorfällen

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram
Bild: Künstlich generiert

Stand: März 2026

Ransomware legt Produktionssysteme lahm, gestohlene Kundendaten landen im Darknet, und ein Cyberangriff kostet das Unternehmen Wochen an Arbeitszeit. Was viele Geschäftsführerinnen und Geschäftsführer lange als rein technisches Problem betrachteten, ist längst zur persönlichen Haftungsfrage geworden. Die NIS2-Richtlinie macht unmissverständlich klar: Cybersicherheit ist Chefsache, und Pflichtverletzungen können die Unternehmensleitung persönlich teuer zu stehen kommen.

Dieser Artikel erklärt, welche rechtlichen Grundlagen die Haftung des Geschäftsführers im Bereich IT-Sicherheit begründen, was sich durch das NIS2-Umsetzungsgesetz konkret geändert hat – und welche Fragen sich für eine vertiefende Abstimmung mit einer Steuerberaterin, einem Rechtsanwalt oder einem Compliance-Experten empfehlen.

Haftung des Geschäftsführers bei IT-Sicherheitsvorfällen
Bild: Künstlich generiert

Warum IT-Sicherheit zur Chefsache geworden ist

Aktuell sind Cyberattacken für zwei Drittel des gesamten Schadens verantwortlich, der der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage entsteht. Laut der Bitkom-Studie „Wirtschaftsschutz 2024″ ist der Schaden von 205,9 Milliarden Euro um etwa 29 Prozent auf 266,6 Milliarden Euro gestiegen. Diese Zahlen verdeutlichen, warum der Gesetzgeber in den vergangenen Jahren den Druck auf die Unternehmensführung erheblich erhöht hat.

In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen. Für Geschäftsführer bedeutet das: Ein Cyberangriff ist kein seltenes Szenario mehr, sondern ein realistisches Betriebsrisiko, das rechtliche Konsequenzen nach sich ziehen kann.

Kernaussage: Die Haftung des Geschäftsführers bei IT-Sicherheitsvorfällen ergibt sich nicht aus einem einzelnen Spezialgesetz, sondern aus dem Zusammenspiel mehrerer Rechtsnormen – von der gesellschaftsrechtlichen Sorgfaltspflicht bis hin zu spezifischen Cybersicherheitsregeln.

Die gesellschaftsrechtliche Grundlage: § 43 GmbHG und § 93 AktG

Ausgangspunkt der Haftung Geschäftsführer IT-Sicherheit ist das Gesellschaftsrecht. Der Geschäftsführer einer GmbH hat die „Sorgfalt eines ordentlichen Geschäftsmannes” aufzubringen (§ 43 Abs. 1 GmbHG). Diese Formulierung beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz.

Bei Pflichtverletzungen haften Geschäftsführer nach gesellschaftsrechtlichen Regelungen (§ 43 Abs. 2 GmbHG, § 93 AktG) mit ihrem persönlichen Vermögen. Entscheidend ist dabei: Die Haftungsbeschränkung der GmbH schützt die Gesellschafter als solche – der Geschäftsführer kann bei schuldhafter Pflichtverletzung jedoch persönlich in Anspruch genommen werden (§ 43 GmbHG, § 69 AO).

Das Aktiengesetz verlangt vom Vorstand „geeignete Maßnahmen” zur Risikoerkennung und -vermeidung. Die Rechtsprechung geht von einer „Ausstrahlungswirkung” aus und überträgt diese Leitungspflicht auf GmbH-Geschäftsführer: Diese müssen ebenfalls für Organisationsstandards sorgen, die eine Bestandsgefährdung des Unternehmens vermeiden. Cyberangriffe bedeuten eine solche Bestandsgefährdung.

Tipp: Sprechen Sie mit Ihrem Steuerberater oder Rechtsberater, wie Ihre konkrete Unternehmensstruktur die Haftungsverteilung beeinflusst – insbesondere wenn mehrere Geschäftsführer bestellt sind.

Wann entsteht eine persönliche Haftung?

Kann die Geschäftsführung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht die persönliche Haftung gegenüber der Gesellschaft oder Dritten – unter anderem für Schäden des Unternehmens durch beschädigte Geräte oder Waren sowie Umsatzeinbußen durch Betriebsunterbrechungen.

Der Geschäftsführer ist von vornherein in einer ungünstigen Situation, denn er muss die Verschuldensvermutung widerlegen. Ohne ordnungsgemäß dokumentierte IT-Maßnahmen wird ihm dieser Nachweis schwer gelingen. Das ist ein zentraler Punkt, der in der Praxis oft unterschätzt wird: Nicht nur das Ergreifen von Maßnahmen zählt – auch deren Dokumentation ist entscheidend.

Das NIS2-Umsetzungsgesetz: Was sich seit Dezember 2025 geändert hat

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfristen. Das bedeutet: Wer als betroffenes Unternehmen die neuen Anforderungen noch nicht umgesetzt hat, befindet sich bereits jetzt im Haftungsrisiko.

Rund 30.000 Unternehmen in Deutschland müssen nun handeln: Registrierung beim BSI, verschärfte Meldepflichten und persönliche Haftung der Geschäftsführung machen Cybersicherheit spätestens jetzt zum zentralen Thema.

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der entsprechenden Branchen beziehungsweise Sektoren mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Dabei wird zwischen „wesentlichen Einrichtungen” und „wichtigen Einrichtungen” unterschieden.

  • Wesentliche Einrichtungen (besonders wichtige Sektoren). Ab 250 Mitarbeiter oder ab 50 Millionen Euro Umsatz, zum Beispiel in den Branchen Energie, Gesundheit, Transport und Banken.
  • Wichtige Einrichtungen. Ab 50 Mitarbeiter oder ab 10 Millionen Euro Umsatz, zum Beispiel in den Branchen Logistik, Lebensmittel, Abfallwirtschaft und digitale Dienste. Das betrifft längst nicht mehr nur klassische kritische Infrastrukturen.
  • Lieferketten-Effekt. Indirekt werden sich die Vorgaben auch auf Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren auswirken. Auch wer selbst nicht direkt reguliert ist, kann über Vertragsbeziehungen in die Pflicht genommen werden.

Was das NIS2-Umsetzungsgesetz für Geschäftsführer konkret bedeutet

Nach Artikel 20 der NIS2-Richtlinie und § 38 BSI-Gesetz trägt die Geschäftsleitung die Gesamtverantwortung für IT-Sicherheit. Sie muss Risikomanagementmaßnahmen billigen, überwachen und kann für Verstöße persönlich haftbar gemacht werden.

Drei neue Pflichten stehen dabei im Mittelpunkt:

  • Explizite Verantwortung der Geschäftsleitung. Leitungsorgane müssen die Sicherheitsmaßnahmen billigen, überwachen und sind verantwortlich für deren Einhaltung (Art. 20 Abs. 1 NIS2; § 38 BSIG).
  • Verpflichtende Schulungen. Neu ist die Pflicht zur Teilnahme an IT-Sicherheitsschulungen mindestens alle drei Jahre. Ein bloßes Delegieren an die IT-Abteilung genügt nicht mehr.
  • Keine Möglichkeit zum vertraglichen Haftungsverzicht. § 38 BSIG verbietet ausdrücklich einen vertraglichen Haftungsverzicht durch Gesellschafter. Eine entsprechende Klausel im Gesellschaftsvertrag wäre unwirksam.

Kernaussage: Die NIS2-Geschäftsführerhaftung macht Geschäftsführer, Vorstände und andere Leitungsorgane persönlich für Cybersicherheitsmaßnahmen verantwortlich. Anders als bisher können sich Führungskräfte nicht mehr auf fehlendes technisches Wissen berufen oder die Verantwortung vollständig delegieren.

Registrierungspflicht beim BSI

Ab Beginn des Jahres 2026 müssen sich rund 30.000 Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, eigene Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren. Eine Prüfung im Einzelfall, ob das eigene Unternehmen registrierungspflichtig ist, empfiehlt sich frühzeitig.

Haftungsrisiken durch Datenschutzverstöße (DSGVO)

Haftung des Geschäftsführers bei IT-Sicherheitsvorfällen
Bild: Künstlich generiert

Neben dem NIS2-Umsetzungsgesetz besteht ein weiteres, eigenständiges Haftungsregime: die Datenschutz-Grundverordnung (DSGVO). Verstöße gegen die Datensicherheitspflichten aus Art. 32 DSGVO können Bußgelder nach sich ziehen – und zwar unabhängig davon, ob ein Unternehmen unter NIS2 fällt oder nicht.

Der gesetzliche Sanktionsrahmen bleibt unverändert hoch: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, was höher ist. Praktisch bedeutet das: Auch mittelständische Unternehmen können bei nachgewiesenen IT-Sicherheitsmängeln, die zu Datenschutzverletzungen führen, erheblich sanktioniert werden.

Die Haftungsrisiken im Bereich des Datenschutzrechts sind enorm, sowohl für das Unternehmen als auch für die Geschäftsführung. So ergibt sich aus dem Bundesdatenschutzgesetz ein verschuldensunabhängiger Schadensersatzanspruch. Das heißt: Selbst ohne nachgewiesenes Verschulden kann der Geschäftsführer persönlich in die Pflicht genommen werden, wenn das Unternehmen Dritten durch fehlerhafte Datenverarbeitung Schaden zugefügt hat.

Dokumentation als Haftungsschutz

Es reicht nicht mehr, sicher zu sein – Unternehmen müssen ihre Sicherheit auch nachweisen. Risikobewertungen, Notfallpläne und Vorstandsbeschlüsse müssen lückenlos dokumentiert sein. Dieses Prinzip der Rechenschaftspflicht ist der Schlüssel, um im Ernstfall der persönlichen Haftung zu entgehen.

Eine bewährte Vorgehensweise in der Praxis ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Für Unternehmen, die mehreren Regelwerken unterliegen, gilt es, Synergien zu nutzen und ein strukturiertes Informations-Sicherheits-Management-System nach ISO 27001 als Grundlage zu etablieren.

Möglichkeiten zur Risikominimierung

Vollständig ausschließen lässt sich das Haftungsrisiko nicht. Eine Prüfung im Einzelfall ist empfehlenswert, welche der folgenden Maßnahmen für das eigene Unternehmen geeignet sind:

  • Risikomanagement aufbauen und dokumentieren. Die Risikoanalyse bildet das „Backbone” des Sicherheitsmanagements: Identifikation relevanter Assets, Bewertung, Behandlung und Dokumentation von Risiken. Diese Dokumentation ist im Haftungsfall der entscheidende Nachweis.
  • Geschäftsführungsschulungen regelmäßig durchführen. Die NIS2-Richtlinie verlangt explizit Schulungen der Geschäftsleitung. Ein Nachweis darüber ist essenziell.
  • Lieferkette einbeziehen. Das BSI empfiehlt, Dienstleister vertraglich zur Einhaltung seiner Standards zu verpflichten und Lieferanten-Audits systematisch zu verankern.
  • Cyberversicherung und D&O-Versicherung prüfen. Eine D&O-Versicherung kann einen Teil des Risikos abdecken. Ergänzend bietet eine Cyberversicherung Schutz vor Schäden durch Cyberangriffe. Dabei ist zu beachten, dass Versicherer bei nachgewiesener Fahrlässigkeit die Schadensregulierung verweigern können.
  • Operative Umsetzung delegieren – Verantwortung behalten. Die operative Umsetzung von IT-Sicherheitsmaßnahmen kann delegiert werden. Die strategische Verantwortung und Überwachungspflicht bleibt bei der Geschäftsführung.

Tipp: In der Praxis empfiehlt sich eine frühzeitige Abstimmung mit einem auf IT-Recht und Datenschutz spezialisierten Berater, um die individuelle Betroffenheit durch NIS2 zu klären und ein geeignetes Dokumentationskonzept zu entwickeln.

Häufig gestellte Fragen

Haftet ein Geschäftsführer persönlich für IT-Sicherheitsmängel – auch in einer GmbH?

Die Gründung einer GmbH führt häufig zu dem Irrglauben, die persönliche Haftung des Geschäftsführers sei gänzlich ausgeschlossen. Dies ist jedoch weit gefehlt. Der Geschäftsführer einer GmbH hat persönlich dafür vorzusorgen, dass die Gesellschaft keinen Schaden erleidet. Bei nachgewiesener Pflichtverletzung im Bereich IT-Sicherheit kann er mit seinem Privatvermögen haftbar gemacht werden.

Was ist das NIS2-Umsetzungsgesetz und wen betrifft es?

Das Gesetz der Bundesregierung ist am 6. Dezember 2025 in Kraft getreten. Die NIS2-Richtlinie verpflichtet mehr Unternehmen und Branchen zu einheitlich europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus. Betroffen sind grundsätzlich Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren, darunter Energie, Gesundheit, Logistik und digitale Dienste. Eine individuelle Prüfung der Betroffenheit ist empfehlenswert.

Kann der Geschäftsführer die Verantwortung für IT-Sicherheit vollständig delegieren?

Die operative Umsetzung kann delegiert werden. Die strategische Verantwortung und Überwachungspflicht bleibt jedoch bei der Geschäftsführung. Das bedeutet: Ein Geschäftsführer, der sich nicht nachweislich mit dem Thema befasst hat, kann sich im Schadensfall nicht auf mangelndes technisches Wissen berufen.

Welche Rolle spielt die DSGVO bei der Haftung für IT-Sicherheitsvorfälle?

Die DSGVO verpflichtet Unternehmen zu angemessenen technischen und organisatorischen Schutzmaßnahmen (Art. 32 DSGVO). Der gesetzliche Sanktionsrahmen beträgt bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Führt ein IT-Sicherheitsvorfall zu einer Datenschutzverletzung, kann die Geschäftsführung sowohl aufsichtsbehördliche Sanktionen als auch zivilrechtliche Schadensersatzansprüche treffen.

Schützt eine D&O-Versicherung den Geschäftsführer bei Cyberangriffen?

Wenn die Geschäftsführung die NIS2-Anforderungen nicht erfüllt und es zu einem Sicherheitsvorfall kommt, geht die D&O-Versicherung prinzipiell von Fahrlässigkeit aus und verweigert mit sehr hoher Wahrscheinlichkeit die Schadensregulierung. Eine Cyberversicherung kann ergänzend sinnvoll sein, ersetzt aber keine strukturierten IT-Sicherheitsmaßnahmen. Eine Prüfung der Versicherungsbedingungen im Einzelfall ist empfehlenswert.

Was droht, wenn ein Unternehmen die NIS2-Registrierungspflicht nicht erfüllt?

Ab Beginn 2026 gelten Registrierungs- und Meldepflichten sowie Vorgaben zu notwendigen Risikomanagementmaßnahmen. Werden diese nicht eingehalten, drohen Geldstrafen. Hinzu kommt die persönliche Haftung der Geschäftsführung gegenüber der Gesellschaft, wenn durch die Pflichtverletzung ein Schaden entsteht. Sprechen Sie hierzu frühzeitig mit einem auf IT-Recht spezialisierten Berater.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Steuerliche und rechtliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.

TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul

Share

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram

03

Nachrichten

Tags

GeschäftsführerHaftungHaftung Geschäftsführer IT-SicherheitHaftungsrisiken durch Datenschutzverstöße (DSGVO)Häufig gestellte FragenMannheimSicherheitSteuerberatung

03

Bleiben Sie in Kontakt

Instagram X-twitter Linkedin Youtube Facebook